miércoles, 15 de diciembre de 2010

Configuración de Autenticación MD5 para OSPF


Podemos proteger nuestro protocolo de comunicación, en este OSPF:

Autenticación en la interfaz

R1(config)#interface serial 0/0/0
R1(config-if)#ip ospf message-digest-key "1" md5 "cisco"
R1(config-if)#ip ospf authentication message-digest


Autenticación en la configuración de OSPF

R1(config)#router ospf "1"
R1(config-router)#area 0 athentication message-digest




Comandos de Seguridad:

Para asegurar la configuración de nuestro router existen varios comandos que encriptan contraseñas o exigen el cumplimiento de ciertos requerimientos, como ejemplo:

R1(config)#service password-encryption (encripta todas las contraseñas)

R1(config)#security password min-leght "10" (cumplimiento de longitud)

R1(config)#line aux 0
R1(config-line)#no password
R1(config-line)#login
**evita registros en líneas que no se utilizan**

R1(config)#line vty 0 4
R1(config-line)#exec-timeout "3"
**tiempo limitado**

R1(config)#service tcp-keepalives-in (vty seguro)

R1(config)#ip ssh time-out "15"
R1(config)#ip ssh authentication-retries "2"
**ssh con tiemo e intentos de autenticación**


Access List: Estándar y Extendida

Las listas de acceso permiten o niegan servicios, redes o una ip específica para que ingrese o salga de su LAN local, según en la interfaz donde se aplique.

Las ACL Estándar bloquean o permiten el origen. Sus números de identifiación pueden ir desde el 1 al 99; mientras que las ACL Extendidas bloquean o permiten origen, destino, protocolo y puerto, sus número de identificación van desde el 100 hasta el 199.

Pasos a seguir:

1. Creación de una ACL:

R0(config)#access-list 1 permit 10.10.10.2 0.0.0.0

**en este caso se utiliza la wilcard 0.0.0.0 para fijar la dirección ip**

2. Aplicar la ACL

**Se puede aplicar en una interfaz FastEthernet o Serial como entrada o salida**

R0(config)#interface fastethernet 0/0
R0(config-if)#ip access-group 1 in (como entrada)

R0(config-if)#ip access-group 1 out (como salida)


En el caso de las ACL extendidas tenemos que ingresar más datos:


R0(config)#access-list 101 deny tcp 10.10.10.2 host 30.30.30.11 eq 20
R0(config)#access-list 101 deny tcp 10.10.10.2 host 30.30.30.11 eq 21
R0(config)#access-list 101 permit tcp 10.10.10.2 host 30.30.30.11 eq 80

**en este caso debemos ingresar en el comando la red o host de origen y luego el de destino para finalizar con "eq" y el puerto del servicio que queramos bloquear o permitir, en el ejemplo denegamos ftp, pero permitimos http. Luego debes aplicar la ACL en una interfaz de entrada o salida.

Algunos puertos de protocolos más usados:

20 TCP FTP
21 TCP FTP
22 TCP SSH
23 TCP TELNET
25 TCP SMTP
53 TCP DNS
53 UDP DNS
80 TCP HTTP
110 TCP POP3


Es necesario destacar dos comando:

ACCESS-LIST "1" DENY ANY
**se encuentra por defecto**

ACCESS-LIST "101" PERMIT IP ANY ANY
**para permitir todo**

Entradas populares